网络钓鱼电子邮件使用类似于金融组织的域名

在本月观察到的新的鱼叉式网络钓鱼活动中，Cobalt黑客组织针对俄罗斯和罗马尼亚的银行，其电子邮件包含指向两个不同命令和控制服务器的两个有效负载。

Cobalt是一个网络犯罪团伙，至少在2016年开始运营，专门针对金融机构。根据欧洲刑警组织的数据，该组织与全球至少100家银行的网络攻击有关，从中偷走了大约10亿欧元。

虽然据称这名头目已于 今年在西班牙被捕，并且有三名据信是黑客组成员的人 在本月初受到指控，但该组仍在继续运作。

网络钓鱼电子邮件使用类似于金融组织的域

Arbor Networks ASERT团队于8月13日发现了一个带有Cobalt签名的新广告系列。目标是俄罗斯的NS银行。ASERT的威胁情报合作伙伴Intel471发现了针对罗马尼亚Carpatica Commercial Bank / Patria Bank的另一项活动。

发送给受害者的电子邮件据称来自与金融业有关的其他机构，这是一种旨在增加在附件中发布武器化文件的信心的策略。

ASERT的研究人员检查了域名rietumu [。] me，它是一个连接到Cobalt活动的命令和控制（C2）服务器，并找到了一个电子邮件地址，导致他们在8月1日创建了五个新域，其中一个是inter -kassa []融为一体。

专家发现的其他领域，显然试图冒充金融机构是：

• 指南针[。]加上 - 可能冒充BBVA Compass Bancshares 或Compass Savings Bank
• eucentalbank [。] com - 可能冒充欧洲中央银行
• eurocentalbank [。] com - 可能冒充欧洲中央银行
• unibank [。]信贷 - 可能冒充 全球任何一家Unibank金融机构

Interkassa是一家位于佐治亚州（该国）的合法支付处理系统，提供超过50种支付工具，用于多种货币的在线交易。

寻找与此域名相关的样本，ASERT为NS Bank员工发现了一个网络钓鱼邮件。与“规范”相反，它包含两个指向恶意文件的链接：一个链接到带有混淆VBA脚本的Word文档，另一个用于下载扩展名更改为JPG的二进制文件。

电子邮件提供两个武器化文件的链接

武器化的Office文件需要具有运行宏的权限才能执行VBA脚本。但是如果启用了宏，则会触发一个复杂的操作，最后下载并运行与后者链接到Cobalt组的功能非常相似的JavaScript后门。

在NS Bank的电子邮件中伪装成JPEG图像的可执行文件来自hxxp：// sepa-europa [。] eu，一个假装与单一欧元支付区域（SEPA）相关的域名，这是一个更容易跨境的计划在欧盟空间内付款。

“UPX解压缩，是一个可执行文件，而不是一个图像文件。样本中充斥着垃圾代码，在进行去混淆自身之前花费了CPU周期。解包例程涉及用另一个可执行文件覆盖自己的内存，”ASERT 解释道。

在对这个二进制文件进行分析之后，研究人员确定它是CobInt / COOLPANTS的一种变体 - 在过去由Cobalt黑客操作的C2上发现的侦察后门。

“在一封电子邮件中使用单独的感染点和两个独立的C2会使这个电子邮件变得特别。人们可以推测这会增加感染几率，”ASERT总结道。

罗马尼亚银行的鱼叉钓鱼员工

针对Carpatica商业银行的鱼叉式网络钓鱼活动现已与Patria Bank合并，提供的恶意软件共享相同的程序数据库，其中包含来自域名rietumul [。] me的样本，与Cobalt集团相关联。

网络钓鱼电子邮件的标题显示，攻击者再次使用SEPA作为恶意活动的掩护，使用SEPA Europe作为邮件的发件人。

目前还不清楚Intel471何时收到网络钓鱼邮件，但两周前罗马尼亚情报局（SRI）宣布 它已经掌握了针对罗马尼亚金融机构的网络攻击的可靠信息。

根据来文，这些事件发生在6月到8月之间，这个时间框架与两家公司研究人员发现的活动重叠。

SRI表示，其网络智能部门National Cyber​​int Center（CNC）的分析显示，黑客使用的攻击工具包括Cobalt Strike，这是一种用于渗透测试的软件。各种安保公司的大量报告证实了这一点，该报告审查了该集团的活动。

网络钓鱼就是这样开始的

鱼叉式网络钓鱼是攻击的初始阶段，该组织试图在银行的数字基础设施中获得立足点。Cobalt小组的后续活动通常包括侦察和在网络内横向移动。

在他们了解目标如何运作并获得与高级员工相同的访问权限后，黑客可以执行汇款，命令ATM，并从支付网关和SWIFT系统窃取资金。